openresty開發系列39--nginx+lua實現接口簽名安全認證
一)需求背景
如今app客戶端請求後臺服務是很是經常使用的請求方式,在咱們寫開放api接口時如何保證數據的安全,
咱們先看看有哪些安全性的問題
請求來源(身份)是否合法?
請求參數被篡改?
請求的惟一性(不可複製)
二)爲了保證數據在通訊時的安全性,咱們能夠採用參數簽名的方式來進行相關驗證
案例:
咱們經過給某 [移動端(app)] 寫 [後臺接口(api)] 的案例進行分析:
客戶端: 如下簡稱app
後臺接口:如下簡稱api
咱們經過app查詢產品列表這個操做來進行分析:
app中點擊查詢按鈕==》調用api進行查詢==》返回查詢結果==>顯示在app中
1、不進行驗證的方式
api查詢接口:/getproducts?參數
app調用:http://api.chinasoft.com/getproducts?參數1=value1.......
如上,這種方式簡單粗暴,經過調用getproducts方法便可獲取產品列表信息了,可是 這樣的方式會存在很嚴重的安全性問題,
沒有進行任何的驗證,你們均可以經過這個方法獲取到產品列表,致使產品信息泄露。
那麼,如何驗證調用者身份呢?如何防止參數被篡改呢?
2、MD5參數簽名的方式
咱們對api查詢產品接口進行優化:
1.給app客戶端分配對應的key=一、secret祕鑰
2.Sign簽名,調用API 時須要對請求參數進行簽名驗證,簽名方式以下:
a. 按照請求參數名稱將全部請求參數按照字母前後順序排序獲得:keyvaluekeyvalue...keyvalue
字符串如:將arong=1,mrong=2,crong=3 排序爲:arong=1, crong=3,mrong=2 而後將參數名和參數值進行拼接
獲得參數字符串:arong1crong3mrong2。
b. 將secret加在參數字符串的頭部後進行MD5加密 ,加密後的字符串需大寫。即獲得簽名Sign
新api接口代碼:
app調用:http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數1=value1&參數2=value2.......
注:secret 僅做加密使用, 爲了保證數據安全請不要在請求參數中使用。
如上,優化後的請求多了key和sign參數,這樣請求的時候就須要合法的key和正確簽名sign才能夠獲取產品數據。
這樣就解決了身份驗證和防止參數篡改問題,若是請求參數被人拿走,沒事,他們永遠也拿不到secret,由於secret是不傳遞的。
再也沒法僞造合法的請求。
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35
客戶端的算法 要和 咱們服務器端的算法是一致的
"a=1&b=hello&c=world&key=1"
和祕鑰進行拼接
secret=123456
"a=1&b=hello&c=world&123456" =》md5 加密 ===》字符串sign = BCC7C71CF93F9CDBDB88671B701D8A35
-----------------------------------
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=2&sign=BCC7C71CF93F9CDBDB88671B701D8A35
key去判斷 是否客戶端身份是合法
參數是否被篡改 服務器這邊 也去生成一個sign簽名,算法和客戶端一致
a=2&c=world&b=hello ==》"a=2&b=hello&c=world" ==》secret=123456==》 "a=2&b=hello&c=world&123456" ==》md5
===》服務器生成的sign ===》若是和客戶端傳過來的sign一致,就表明合法===》驗證參數是否被篡改
3、不可複製
第二種方案就夠了嗎?咱們會發現,若是我獲取了你完整的連接,一直使用你的key和sign和同樣的參數不就能夠正常獲取數據了,是的,僅僅是如上的優化是不夠的
請求的惟一性:
爲了防止別人重複使用請求參數問題,咱們須要保證請求的惟一性,就是對應請求只能使用一次,這樣就算別人拿走了請求的完整連接也是無效的
惟一性的實現:在如上的請求參數中,咱們加入時間戳 timestamp(yyyyMMddHHmmss),一樣,時間戳做爲請求參數之一,
也加入sign算法中進行加密。
新的api接口:
app調用:
http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35×tamp=201803261407&參數1=value1&參數2=value2.......
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello
http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35&time=20190827
time是客戶端發起請求的那一時刻,傳過來的
客戶端的算法 要和 咱們服務器端的算法是一致的
"a=1&b=hello&c=world&time=20190827"
和祕鑰進行拼接
secret=123456
"a=1&b=hello&c=world&time=20190827&123456" =》md5 加密 ===》字符串sign= BCC7C71CF93F9CDBDB88671B701D8A35
---------------------------------
key=1 是否身份驗證合法
time=客戶端在調用這個接口那一刻傳的時間
服務器去處理這個接口請求的當前時間 相減,若是這個大於10s;這個連接應該是被人家截取
若是小於10s,表示正常請求
如上,咱們經過timestamp時間戳用來驗證請求是否過時。這樣就算被人拿走完整的請求連接也是無效的。
Sign簽名安全性分析:
經過上面的案例,咱們能夠看出,安全的關鍵在於參與簽名的secret,整個過程當中secret是不參與通訊的,
因此只要保證secret不泄露,請求就不會被僞造。
總結
上述的Sign簽名的方式可以在必定程度上防止信息被篡改和僞造,保障通訊的安全,這裏使用的是MD5進行加密,
固然實際使用中你們能夠根據實際需求進行自定義簽名算法,好比:RSA,SHA等。
-----------------------------------------
編輯nginx.conf的server部分
location /sign {
access_by_lua_file /usr/local/lua/access_by_sign.lua;
echo "sign驗證成功";
}
==============================編輯/usr/local/lua/access_by_sign.luajava
--判斷table是否爲空 local function isTableEmpty(t) return t == nil or next(t) == nil end --兩個table合併 local function union(table1,table2) for k,v in pairs(table2) do table1[k] = v end return table1 end --檢驗請求的sign簽名是否正確 --params:傳入的參數值組成的table --secret:項目secret,根據key找到secret local function signcheck(params,secret) --判斷參數是否爲空,爲空報異常 if isTableEmpty(params) then local mess = "參數爲空" ngx.log(ngx.ERR, mess) return false,mess end if secret == nil then local mess="私鑰爲空" ngx.log(ngx.ERR, mess) return false,mess end --平臺分配給某客戶端類型的keyID local key = params["key"]; if key == nil then local mess = "key值爲空" ngx.log(ngx.ERR, mess) return false,mess end --判斷是否有簽名參數 local sign = params["sign"] if sign == nil then local mess="簽名參數爲空" ngx.log(ngx.ERR, mess) return false,mess end --是否存在時間戳的參數 local timestamp = params["time"] if timestamp == nil then local mess="時間戳參數爲空" ngx.log(ngx.ERR, mess) return false,mess end --時間戳有沒有過時,10秒過時 local now_mill = ngx.now() * 1000--毫秒級 if now_mill - timestamp > 30000 then local mess="連接過時" ngx.log(ngx.ERR, mess) return false,mess end local keys, tmp = {}, {} --提出全部的鍵名並按字符順序排序 for k, _ in pairs(params) do if k ~= "sign" then keys[#keys+1] = k end end table.sort(keys) --根據排序好的鍵名依次讀取值並拼接字符串成key=value&key=value for _,k in pairs(keys) do if type(params[k]) == "string" or type(params[k]) == "number" then tmp[#tmp+1] = k .. "=" .. tostring(params[k]) end end --將salt添加到最後,計算正確的簽名sign值並與傳入的sign簽名對比, local signchar = table.concat(tmp, "&") .. "&" ..secret local rightsign = ngx.md5(signchar) if sign ~= rightsign then --若是簽名錯誤返回錯誤信息並記錄日誌, --local mess="sign error: sign,"..sign.."right sign:"..rightsign.." sign_char:"..signchar local mess="sign error: sign,"..sign.."right sign:"..rightsign.." sign_char:"..table.concat(tmp, "&") ngx.log(ngx.ERR, mess) return false,mess end return true end local params = {} local get_args = ngx.req.get_uri_args(); ngx.req.read_body() local post_args = ngx.req.get_post_args(); union(params,get_args) union(params,post_args) --根據keyID到後臺服務獲取secret local secret = "abc123" local checkResult,mess = signcheck(params,secret) if not checkResult then ngx.say(mess); return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403 end
java代碼,模仿請求python
import java.io.IOException; import java.security.GeneralSecurityException; import java.security.MessageDigest; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import java.util.TreeMap; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class SignApplication { public static void main(String[] args) throws IOException { SpringApplication.run(SignApplication.class, args); HashMap<String,String> params = new HashMap<String,String>(); params.put("key", "1"); params.put("a", "1"); params.put("c", "w"); params.put("b", "2"); long time = new Date().getTime(); params.put("time", "" + time); System.out.println(time); String sign = getSignature(params,"123456"); System.out.println(sign); params.put("sign", sign); String resp = HttpUtil.doGet("http://10.11.0.215/sign",params); System.out.println(resp); } /** * 簽名生成算法 * @param HashMap<String,String> params 請求參數集,全部參數必須已轉換爲字符串類型 * @param String secret 簽名密鑰 * @return 簽名 * @throws IOException */ public static String getSignature(HashMap<String,String> params, String secret) throws IOException { // 先將參數以其參數名的字典序升序進行排序 Map<String, String> sortedParams = new TreeMap<String, String>(params); Set<Entry<String, String>> entrys = sortedParams.entrySet(); // 遍歷排序後的字典,將全部參數按"key=value"格式拼接在一塊兒 StringBuilder basestring = new StringBuilder(); for (Entry<String, String> param : entrys) { if(basestring.length() != 0){ basestring.append("&"); } basestring.append(param.getKey()).append("=").append(param.getValue()); } basestring.append("&"); basestring.append(secret); System.out.println("basestring="+basestring); // 使用MD5對待簽名串求籤 byte[] bytes = null; try { MessageDigest md5 = MessageDigest.getInstance("MD5"); bytes = md5.digest(basestring.toString().getBytes("UTF-8")); } catch (GeneralSecurityException ex) { throw new IOException(ex); } String strSign = new String(bytes); System.out.println("strSign="+strSign); // 將MD5輸出的二進制結果轉換爲小寫的十六進制 StringBuilder sign = new StringBuilder(); for (int i = 0; i < bytes.length; i++) { String hex = Integer.toHexString(bytes[i] & 0xFF); if (hex.length() == 1) { sign.append("0"); } sign.append(hex); } return sign.toString(); } }
python代碼模仿請求nginx
#coding=utf-8 import time import requests # 生成簽名的字符串 def getSignature(params, secret): # basestring=a=1&b=hello&c=world&key=1&time=1566877802288 ivlist = [] # 拼湊字符串 for i,v in params.items(): tmpstr=str(i)+"="+str(v) ivlist.append(tmpstr) ivlist.append(secret) basestr = "&".join(ivlist) print("basestr = %s" % basestr) # 因爲MD5模塊在python3中被移除 # 在python3中使用hashlib模塊進行md5操做 import hashlib # 建立md5對象 m = hashlib.md5() # 此處必須encode,若寫法爲m.update(str) 報錯爲: Unicode-objects must be encoded before hashing # 由於python3裏默認的str是unicode # 或者 b = bytes(str, encoding='utf-8'),做用相同,都是encode爲bytes b = basestr.encode(encoding='utf-8') m.update(b) str_md5 = m.hexdigest() return str_md5 if __name__ == "__main__": # 拼湊訪問url params = {"a":22,"b":"hello","c":"wrold","key":1} time = int(round(time.time() * 1000)) params["time"] = time sinstr = getSignature(params, "abc123") print(sinstr) params["sign"] = sinstr url = "http://10.11.0.215/sign?a=1&b=hello&c=world&key=1&time={time}&sign={sign}".format(time = time, sign = sinstr) print("url = %s" % url) # 模擬正確的請求 res = requests.get("http://10.11.0.215/sign", params = params, timeout=10) res.encoding="utf-8" print(res.content)
- 1. API接口簽名認證細節
- 2. 身份證實名認證接口,實名認證API接口文檔
- 3. WebApi接口安全認證
- 4. RESTful接口安全認證實例
- 5. 關於web安全開發之簽名認證
- 6. laravel 5.5 api接口開發:JWT安裝+實現API token 認證
- 7. 【thinkphp】app接口簽名+驗證簽名
- 8. 開放api接口簽名驗證
- 9. API接口簽名驗證
- 10. php接口簽名驗證
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Kotlin 接口 - Kotlin 教程
- • PHP開發工具
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. eclipse設置粘貼字符串自動轉義
- 2. android客戶端學習-啓動模擬器異常Emulator: failed to initialize HAX: Invalid argument
- 3. android.view.InflateException: class com.jpardogo.listbuddies.lib.views.ListBuddiesLayout問題
- 4. MYSQL8.0數據庫恢復 MYSQL8.0ibd數據恢復 MYSQL8.0恢復數據庫
- 5. 你本是一個肉體,是什麼驅使你前行【1】
- 6. 2018.04.30
- 7. 2018.04.30
- 8. 你本是一個肉體,是什麼驅使你前行【3】
- 9. 你本是一個肉體,是什麼驅使你前行【2】
- 10. 【資訊】LocalBitcoins達到每週交易比特幣的7年低點